Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »

Archive for the ‘Полезные советы’ Category

Анализ Apple TV и Apple Watch

Пятница, Июнь 21st, 2019

Популярность iPhone, основного продукта Apple, отодвигает в тень другие продукты компании. Такие устройства, как планшеты iPad, музыкальные колонки HomePod, телевизионная приставка Apple TV и часы Apple Watch пользуются заслуженной популярностью. Все эти устройства работают на вариациях одной и той же операционной системы — iOS, и для них работают многие методы извлечения и анализа данных, которыми эксперты пользуются для доступа к информации из iPhone. Сегодня мы рассмотрим процедуру извлечения данных из приставок Apple TV и часов Apple Watch.

(далее…)

Физический анализ iOS. Джейлбрейк: риски и последствия

Среда, Июнь 19th, 2019

Физический анализ – наиболее универсальный метод исследования содержимого устройств под управлением iOS. Подавляющее большинство технических средств, позволяющих провести физический анализ устройства российским правоохранительным органам, требует установки джейлбрейк (от английского “jailbreak”) – разработанного на основе найденных в устройствах уязвимостях программного обеспечения, позволяющего получить полный доступ к файловой системе устройств iPhone, iPad и iPod Touch.

Использование джейлбрейка для доступа к данным в процессе физического анализа – вынужденный шаг, который не обходится без последствий и связанными с ними рисков. В этой статье мы рассмотрим риски и опишем последствия использования джейлбрейка для извлечения данных из iPhone или iPad.

Для чего нужен джейлбрейк

Для чего эксперту может понадобиться взлом устройства? По своей сути, джейлбрейк – узкоспециализированный инструмент, позволяющий как самой утилите, так и сторонним приложениям получить эскалацию привилегий и вырваться из «песочницы», изолирующий приложения в рамках отведённой ему области файловой системы. Взлом устройства позволяет получить полный доступ ко всему содержимому файловой системы, что является необходимым условием для физического извлечения данных из устройства. Перечислим основные отличия метода физического анализа по сравнению с другими методами доступа к информации.

(далее…)

Физический анализ устройств iOS и установка джейлбрейка: пошаговое руководство

Четверг, Май 30th, 2019

Для извлечения содержимого файловой системы из устройств под управлением iOS (iPhone, iPad, iPod Touch) необходим низкоуровневый доступ, для получения которого эксперту потребуется установить на устройство джейлбрейк. Процедуры установки разнообразных утилит для джейлбрейка подробно описываются в сети, но использование общеизвестных процедур в криминалистической лаборатории ведёт к серьёзным рискам, связанным с необходимостью подключения исследуемого устройства к сети. Выход устройства в сеть может привести к модификации хранящейся на устройстве информации, синхронизации устройства с облачными данными или к получению устройством команды на удалённую блокировку или уничтожение данных. Избежать этих рисков позволит точное следование описанным в данном руководстве инструкциям.

(далее…)

Почему SSD выходят из строя: кто виноват и что делать?

Понедельник, Декабрь 24th, 2018

Искренняя благодарность Роману Морозову, руководителю техподдержки ACELab, рассказавшему о многих тонкостях жизненного цикла твердотельных накопителей.

Начнём издалека. В предыдущей статье, предназначенной для экспертов-криминалистов, мы писали, что современные микросхемы NAND имеют ограниченный ресурс порядка 1000-1500 циклов перезаписи. Это не совсем так. Действительно, большинством производителей декларируется ресурс в несколько тысяч циклов записи; эта декларация поддерживается длительными гарантийными сроками (на многие модели – порядка 5 лет). Независимые исследователи, осуществляющие многократную непрерывную перезапись накопителей в течение длительного времени, демонстрируют устойчивость на отказ и после десятков, а иногда и сотен тысяч циклов.

В то же время фактический жизненный цикл современных микросхем TLC может быть ограничен всего 20-50 циклами перезаписи. Этот параметр может быть лучше или хуже в зависимости от типа памяти, норм технологического производства и уровня брака на китайском заводе-производителе. Использование таких технологий, как SLC кэш с пониженным напряжением записи в ячейку позволяет заметно увеличить ресурс, в то время как наличие умножающего коэффициента записи (write amplification) снижает эффективный ресурс накопителя.

Как жизненный цикл современных TLC микросхем в 20-50 циклов соотносится с декларацией производителей и действительно впечатляющими гарантийными сроками и насколько на самом деле надёжны современные SSD? Попробуем разобраться.

(далее…)

Жизнь после Trim: как восстановить удалённые данные с накопителей SSD

Пятница, Декабрь 21st, 2018

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

Механизмы хранения, удаления и восстановления данных в твердотельных накопителях – классический «тёмный лес» в представлении как обычных пользователей, так и экспертов-криминалистов. В отличие от традиционных магнитных жёстких дисков, данные на которых остаются на месте даже после удаления файла, твердотельные накопители способны самостоятельно запустить и поддерживать процесс безвозвратного уничтожения информации, стоит лишь подать на них питание. Таким образом стандартная в процессе экспертизы процедура снятия образа диска приводит к тому, что к моменту окончания процесса на SSD не остаётся никаких следов удалённых пользователем данных.

До недавнего времени единственной возможностью получить доступ к удалённым блокам была трудоёмкая процедура извлечения чипов NAND и прямого считывания информации (с последующей реконструкцией адресации). Сейчас же, наконец, появилась разумная альтернатива. Попробуем разобраться в механизмах хранения и удаления информации на современных SSD и попытаемся восстановить данные в удалённых блоках.

В данной статье не описывается, но представляет отдельный интерес уязвимость популярного алгоритма шифрования дисков BitLocker, являющегося составной частью Windows. Как обнаружили исследователи, вместо программного шифрования с использованием центрального процессора BitLocker может использовать контроллер SSD для шифрования данных. Соответственно, низкоуровневый доступ к SSD позволяет найти ключ шифрования данных и расшифровать содержимое такого накопителя.

(далее…)

Методология извлечения данных из устройств под управлением iOS

Пятница, Ноябрь 2nd, 2018

На тему извлечения данных из смартфонов под управлением iOS написано множество статей и книг, в том числе и книга за нашим авторством. Тем не менее, хотя многочисленные статьи и могут подробно осветить тот или иной метод доступа к информации, их нельзя рассматривать в качестве прямого руководства к действию в отрыве от общей ситуации. В данной работе мы рассмотрим все шаги, которые необходимо предпринять по отношению к конкретному устройству с целью максимально увеличить шансы на успешное извлечение информации. Мы постараемся полностью описать всю цепочку шагов, включающую процесс конфискации, хранения и транспортировки устройства, методы презервации данных и последовательность использования методов извлечения и анализа информации. (далее…)

Андроид плохой и улучшенный

Пятница, Июль 20th, 2018

На прошлой неделе мы подробно рассмотрели причины, по которым смартфоны Apple были и будут быстрее актуальных флагманов на Android. Статья вызвала массу обсуждений, и мы решили развить тему. В этом выпуске — о том, как «улучшают» Android OEM-производители смартфонов и что получается из таких улучшений.

Андроид плохой и хороший

В этой статье ничего не будет об ошибках и неудобствах чистого Android – некоего эталона, состоящего из комбинации AOSP и сервисов Google. Именно такой Android устанавливается в смартфоны линеек Android One, Google Pixel и смартфоны некоторых производителей (например, Motorola и Nokia). Такой Android мы назовём «хорошим»: нравятся ли пользователю его особенности или нет, но именно так он был спроектирован. В сравнении с тем, что выходит с заводов большинства производителей смартфонов, «хороший» Android чаще бывает хорошо оптимизирован и с большей вероятностью будет регулярно обновляться – по крайней мере, у тех производителей, которые сделали «чистый Android» своей маркетинговой особенностью.

Здесь и сейчас мы поговорим о том, как производители – те самые HTC, LG, Samsung и прочие, — пытаются улучшить систему, и что из этого получается.

Свистелки: благие намерения по-азиатски

Первым, что нас встретит при включении любого новенького флагмана, будет анимированная заставка, бут-анимация. Американские производители скромны: на iPhone и iPad в течение всего процесса загрузки мы имеем счастье наблюдать лишь белое статичное яблоко. Смартфоны на Windows 10 Mobile радуют таким же статичным голубым логотипом Windows. Google значительно менее скромен, выводя весёлую разноцветную анимацию, которая ещё и отличается для разных версий Android. (далее…)

Наивные преступники: как обыватели прячут улики

Пятница, Июнь 29th, 2018

Эта публикация будет необычной. Мы не расскажем о найденных в iOS или Android уязвимостях и не поделимся опытом взлома паролей. Вместо этого мы поговорим о том, как обычные пользователи пытаются скрыть цифровые улики – и почему это иногда получается.

Причина, побудившая нас написать эту статью, достойна отдельного рассказа. Время от времени к нам обращаются за консультацией; как правило, мы в меру своих сил стараемся помочь экспертам и представителям правоохранительных органов. Несколько месяцев назад нас попросили прокомментировать документ – руководство для полицейских экспертов по поиску цифровых улик. Документ оказался настолько интересным, что, вдохновившись и испросив официального разрешения от его авторов, мы решили написать на его основе собственное исследования – взглянув, однако, на ситуацию под другим углом. Давайте рассмотрим методы и уловки, которыми подследственные пытаются запутать цифровой след и скрыть улики.

Наивные преступники

Почему преступники – наивные? Большинство подследственных, не являющихся членами преступных группировок, далеки от мира IT безопасности. Наивны и способы, которыми они пытаются замести цифровой след. Не смотря на это, многие уловки срабатывают именно так, как от них ожидалось просто по принципу «неуловимого Джо». Далеко не у каждого следователя будет достаточно времени, квалификации и мотивации на проведение подробного анализа цифровых улик – особенно если дело на первый взгляд не связано с кибер-преступностью. Помочь отыскать улики могут специализированные программы, автоматизирующие поиск и анализ улик, сокрытых с помощью «наивных» способов.

Какие же способы использует среднестатистический Василий П., чтобы сокрыть улики? Набор уловок невелик, а сами уловки достаточно нехитры. (далее…)

Быстрая зарядка и USB Power Delivery: Apple против сторонних блоков питания

Вторник, Июнь 5th, 2018

В конце апреля в статье Быстрая зарядка: стандарты, особенности и проблемы совместимости мы уже писали о разнообразии стандартов быстрой зарядки, проблемах совместимости и ошибках в реализации протокола Power Delivery. С выходом линейки устройств Apple, поддерживающих быструю зарядку, ситуация только усложнилась. Первой ласточкой стал iPad Pro 12.9, выпущенный в 2015 году и поддерживающий быструю зарядку по протоколу USB Power Delivery при условии использования фирменного кабеля USB-C > Lightning. Новое поколение устройств, включающее в себя iPad Pro 10.5, iPad Pro 12.9 (2017), а также iPhone 8, 8 Plus и iPhone X, также поддерживает быструю зарядку через фирменный кабель. Подтянулись и сторонние производители, наводнившие рынок зарядными устройствами и кабелями USB-C > Lightning, рекламирующими поддержку данных устройств. Но что-то пошло не так. (далее…)

Как Apple охраняет данные своих пользователей, препятствуя работе правоохранительных органов

Четверг, Май 31st, 2018

Какая мобильная платформа самая безопасная? Из актуальных мобильных систем с большим отрывом лидирует iOS, во многом за счёт тесной связки аппаратного и программного обеспечения. Если подключить iPhone, работающий на актуальной версии iOS и с неизвестным паролем к новому компьютеру, с него невозможно будет скачать даже фотографии, для доступа к которым в смартфоне с Android, что называется, есть варианты – от использования датчика отпечатков до разблокирования через Smart Lock.

Фотографии, конечно, важны, но они – даже не верхушка айсберга. В современном смартфоне хранятся пароли к веб-сайтам, включая банковские, и социальным сетям; данные приложений, чаты, история переписки, поисковых запросов и многое другое. Чем более интенсивно мы пользуемся смартфонами, тем больше информации в них накапливается и тем серьёзнее производители подходят к её защите.

Не стоит на месте и iOS. С каждой новой версией iOS разработчики Apple предпринимают все возможные шаги для усиления защиты данных – вашей защиты и ваших данных. Но не зашла ли компания слишком далеко? Несколько последних решений защитят исключительно от интереса со стороны правоохранительных органов, работающих с разрешения и одобрения суда. Попробуем разобраться, что это за решения и могут ли они защитить от действий злоумышленников, а не полиции. (далее…)